個資法專欄/搜尋網址露履歷 網站又泄個資
新北市的明志科技大學遭學生反映,使用入口網站搜尋學校的電子郵件信箱網域mail2.mcut.edu.tw,搜尋結果出現多筆同學在學校網站線上填寫的個人履歷,包括姓名、電話、地址、電子郵件、生日、大頭照等個資遭泄露,學生直呼「太可怕了,網路上被迫公佈個人資料。」 明志科技大學表示,委外廠商在做系統測試時,不慎外泄資料,會要求廠商負責。但依《個人資料保護法》規定,學生個人資料遭泄露,學校恐有損害賠償責任。
不能證明無過失 就賠定了校方委外廠商疏失致學生個資泄露,可歸責於校方,依照我國新版個資法第18條「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或泄漏」,若是硬要推給廠商,照樣可依個資法第29條第1項「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限」。受害的學生可請求500元以上、2萬元以下賠償。
有什麼樣的資安解決方案,能在個資外泄的事件發生後,可證明自己無過失?又該從何做起?優碩資訊科技資安經理解忠翰表示:「個資法對於許多中小企業無疑是一個新的挑戰。要符合精、省、速、效原則的個資保護措施:結合計劃(Plan)、個資盤點(Inventory)、保護(Protection)及稽覈(Audit),再透過教育訓練(Training)、將紙本文件電子化後與將盤點出來的個資利用DLP/DRM加密,持續改善個資保護框架,採取恰當的保護措施,就可以免責。」
資料來源:優碩資訊科技http://www.trustview.com.tw